Para monitorar o tráfego de rede, como análise do comportamento online do usuário, monitoramento de tráfego anormal e monitoramento de aplicativos de rede, você precisa coletar o tráfego de rede. A captura do tráfego de rede pode ser imprecisa. Na verdade, você precisa copiar o tráfego de rede atual e enviá-lo ao dispositivo de monitoramento. Um divisor de rede, também conhecido como TAP de rede, faz exatamente isso. Vejamos a definição de TAP de rede:
I. Um Network Tap é um dispositivo de hardware que fornece uma maneira de acessar os dados que fluem através de uma rede de computadores. (da wikipedia)
II. UmaToque de rede, também conhecida como Porta de Acesso de Teste, é um dispositivo de hardware que se conecta diretamente a um cabo de rede e envia parte da comunicação de rede para outros dispositivos. Divisores de rede são comumente usados em sistemas de detecção de intrusão de rede (IPS), detectores de rede e profilers. A replicação da comunicação para dispositivos de rede agora é normalmente feita por meio de um analisador de porta de comutação (porta span), também conhecido como espelhamento de porta em comutação de rede.
III. Taps de Rede são usados para criar portas de acesso permanentes para monitoramento passivo. Um tap, ou Porta de Acesso de Teste, pode ser configurado entre quaisquer dois dispositivos de rede, como switches, roteadores e firewalls. Ele pode funcionar como uma porta de acesso para dispositivos de monitoramento usados para coletar dados em linha, incluindo sistemas de detecção de intrusão, sistemas de prevenção de intrusão implantados em modo passivo, analisadores de protocolo e ferramentas de monitoramento remoto. (da NetOptics).
Das três definições acima, podemos basicamente desenhar várias características do Network TAP: hardware, inline, transparente
Dê uma olhada nesses recursos:
1. É um hardware independente e, por isso, não tem impacto na carga dos dispositivos de rede existentes, o que apresenta grandes vantagens em relação ao espelhamento de portas
2. É um dispositivo em linha. Simplificando, ele precisa estar conectado à rede, o que é compreensível. No entanto, isso também tem a desvantagem de introduzir um ponto de falha e, por ser um dispositivo em linha, a rede atual precisa ser interrompida no momento da implantação, dependendo de onde for implantada.
3. Transparente refere-se ao ponteiro para a rede atual. Redes de acesso após o desvio, a rede atual para todos os equipamentos, não tem qualquer efeito, para eles é completamente transparente, é claro, também contém o desvio da rede envia tráfego para o equipamento monitorado, o dispositivo de monitoramento para a rede é transparente, é como se você estivesse em um novo acesso a uma nova tomada elétrica, para outros aparelhos existentes. Nada acontece, mesmo quando você finalmente remove o aparelho e de repente se lembra do poema, "Abane a manga e não há nuvem"...
Muitas pessoas estão familiarizadas com o espelhamento de portas. Sim, o espelhamento de portas também pode alcançar o mesmo efeito. Aqui está uma comparação entre Taps/Desviadores de Rede e Espelhamento de Portas:
1. Como a própria porta do switch filtrará alguns pacotes com erro e pacotes com tamanho muito pequeno, o espelhamento de portas não garante que todo o tráfego seja obtido. No entanto, o shunter garante a integridade dos dados, pois eles são completamente "copiados" na camada física.
2. Em termos de desempenho em tempo real, em alguns switches de baixo custo, o espelhamento de portas pode introduzir atrasos ao copiar o tráfego para portas de espelhamento e também introduzir atrasos ao copiar portas 10/100m para portas GIGA
3. O espelhamento de portas exige que a largura de banda de uma porta espelhada seja maior ou igual à soma das larguras de banda de todas as portas espelhadas. No entanto, esse requisito pode não ser atendido por todos os switches.
4. O espelhamento de portas precisa ser configurado no switch. Assim que as áreas a serem monitoradas precisarem ser ajustadas, o switch precisará ser reconfigurado.
Horário da publicação: 05/08/2022
